[뉴스스페이스=김정영 기자] 미 캘리포니아 소재 한 회사의 내부 디렉토리에서 IP를 쓰는 평범한 미국인 개발자로 보였던 ‘안톤 코’는 실제로는 중국 국가 기숙사에 거주하며 김정은 정권을 위해 달러를 벌어들이는 북한 엘리트 사이버 공작원이었다.

그는 탈북 후 증언에서 “소프트웨어 엔지니어인데 당신에게 좋은 기회가 있다”며 "팬데믹 시기 매일 수십 명의 미국인에게 접근해 ‘몸값 나눠먹기’ 제안을 던지는 게 임무였다"고 말했다.

북한 정권의 해외 원격 IT 근로자 작전

cyberscoop, fortune, nytimes, hindustantimes, wsj에 따르면, 그는 원격 근무자들 사이에서 평범한 얼굴 중 하나에 불과했다. 세련된 링크드인 프로필을 가진 소프트웨어 개발자였고, IP 주소는 미국 중서부로 추적되었다.

하지만 실제로 코딩을 하는 그 사람은 중국의 국가 운영 기숙사에서 살고 있었다. 그의 이름은 안톤 코였고, 그는 미국 기업의 원격 IT 일자리를 얻기 위해 외국인 신분을 도용하는 북한의 광범위한 엘리트 사이버 공작원 네트워크의 일원이었다.

월스트리트저널에 보도된 코의 증언은 미국 주도의 11개국 컨소시엄이 2024년 한 해에만 김정은 정권에 최대 8억 달러를 벌어준 것으로 추정하는 작전에 대한 드문 통찰을 제공하며, 40개 이상의 국가가 이 작전의 표적이 되었거나 연루되어 있다.​
 

8억달러·수천명…제2의 ‘해외 파견 노동군’

유엔과 미국, 한국 정보당국 및 민간 보안업계가 교차 추정하는 북한 해외 원격 IT 인력 규모는 최소 수천명에서 1만명 안팎으로 불어난 상태다.

미국이 주도한 11개국 공조 체계는 이들이 2024년 한 해에만 최대 8억달러를 벌어들였을 수 있다고 평가하며, 관련 작전의 직·간접 표적이 된 국가는 40여개국에 이른다고 지적한다.

서울 인권단체 PSCORE가 탈북 IT 인력들을 심층 인터뷰해 추산한 바에 따르면, 김정은 정권은 이들의 수입 중 최대 90%를 ‘상납금’ 명목으로 수탈한다. 북한 관계자는 “실력 좋은 IT 인력 몇 명이면 탄도미사일 한 발 예산이 나온다”고 평가했다.
​

팬데믹이 연 ‘완벽한 창구’: 원격근무와 신분도용

북한의 원격 IT 작전은 코로나19 팬데믹과 맞물리며 본격적인 ‘수익 모델’로 진화했다는 게 안톤 코의 증언이다.

2020년 이후 미국과 유럽 전역에서 재택·하이브리드 근무가 빠르게 확산되자, 북한 공작 조직은 이를 “물리적 국경을 무력화하는 채용 시장”으로 규정하고 집중 공략했다는 분석이 뒤따른다.

작전 방식은 정교하다. 미국·유럽인의 여권, 사회보장번호, 거주지 정보를 다크웹과 브로커를 통해 확보해 ‘합법적 미국 개발자’로 위장한다. VPN과 원격관리(RMM) 도구로 접속지를 미국·유럽으로 위장하고, 실제로는 북한·중국·러시아에서 코드를 작성한다.

미국 현지 공범에게 노트북과 보안토큰을 보내 ‘랩톱 팜(laptop farm)’에서 전원을 켜고 로그인하게 한 뒤, 그 장비를 원격으로 조종해 물리 위치를 완전히 속인다.

미 마이크로소프트 위협 인텔리전스는 북한 원격 IT 인력들이 2024년 이후 AI를 동원해 이력서와 인물 사진을 조작하고, 신분증·자격증 이미지까지 합성해 신원 확인 절차를 뚫고 있다고 분석했다. 음성 변조 소프트웨어와 실시간 딥페이크 영상까지 활용해 화상 면접에 응하는 사례도 다수 추적됐다.

“포춘500 대부분이 채용했다”…침투 범위는 어디까지 왔나

미국 RSA 컨퍼런스에서 만디언트 컨설팅 CTO 찰스 카마칼은 “말 그대로 거의 모든 포춘500 기업이 북한 IT 인력 지원서를 최소 수십 건, 많게는 수백 건씩 받았고, 다수는 실제 채용까지 이뤄졌다”고 경고했다.

그가 만난 미국 대형 기업 CISO(Chief Information Security Officer, 정보보호 최고책임자) 상당수는 “적어도 한 명 이상의 북한 연계 원격 인력을 고용한 사실이 확인됐다”고 털어놓은 것으로 전해진다.

미 법무부가 2024~2025년 기소·공개한 공소장과 브리핑 자료를 종합하면, 300개 이상 미국 기업이 북한 연계 인력을 원격 IT 직군으로 채용했고, 이 과정에서 80명 이상의 미국인 신원이 도용됐으며, 확인된 피해액만 최소 수백만달러에서, 수년 누적으로는 수천만달러대에 이른다.

특히 포춘이 보도한 첫 대형 기소 사건에서는, 북한 IT 팀이 미국·해외 공범들과 공모해 100개 이상의 기업(다수 포춘500 포함)에 취업해 최소 500만달러를 챙긴 것으로 적시됐다. 다른 기소 건에선 애틀랜타 R&D 테크기업과 가상자산 회사에 개발자로 침투한 인력이 암호화폐 약 100만달러를 탈취해 세탁한 뒤 북한으로 송금한 혐의도 드러났다.
​

이는 미국만의 문제가 아니다. 크라우드스트라이크와 기타 보안업체들은 영국, 폴란드, 루마니아, 남아시아 국가의 중견 IT·핀테크·게임사에서도 유사한 원격 채용 침투 패턴을 확인했다고 밝혔다.

‘원격 인력’이 곧 ‘사이버 병력’: 안보·산업기밀 직격탄

표면적으로 이들은 코드만 짜는 개발자이지만, 실질적으로는 ‘내부자 권한을 가진 사이버 병력’에 가깝다는 게 서방 정보·보안 당국의 공통된 평가다.

실제 피해 사례는 민감하다. 미 연방수사국(FBI)은 최소 한 곳의 미국 정부 방산 계약업체가 북한 원격 인력에 침투당해 AI 기반 장비 관련 기술 자료와 파일이 해외로 반출됐다고 확인했다. 일부 기업에선 소스코드·고객데이터가 유출됐고, 향후 랜섬웨어·협박에 쓰일 수 있는 백도어가 심어졌을 가능성도 제기된다.

미국 재무부와 국무부는 이 작전을 “북한 대량살상무기(WMD)·탄도미사일 프로그램의 핵심 자금줄”로 규정하며, 원격 IT 인력과 연계된 개인·법인을 잇따라 제재 리스트에 올리고 있다.
​​
정통 사이버 공격(라자루스, 암호화폐 해킹 등)과 원격 IT 구직 사기를 결합한 ‘하이브리드 모델’이 이미 작동 중이라는 경고도 나온다.

북한의 원격 IT 공작은 더 이상 “어디선가 벌어지는 특수 작전”이 아니라, 전 세계 기업의 인사·보안 시스템 틈새를 노리는 일상적 수익사업으로 굳어지는 양상이다. 팬데믹이 열어준 ‘국경 없는 노동시장’을 김정은 정권이 어떻게 현금화하고 있는지, 안톤 코의 증언은 그 민낯을 집요하게 보여주고 있다.